[CKA] 42. View Certificate Details

Date

2025/01/13

View Certificates

쿠버네티스 환경에 인증서와 관련된 여러 이슈가 있을 때, 클러스터 전체의 모든 인증서에 대한 Health Check를 수행하려면 어떻게 해야할까?

Cluster Set Up

클러스터 배포에 따라 인증서 생성 및 관리에 대한 솔루션이 다양하다.

클러스터를 처음부터 배포했다면 스스로 인증서를 생성해야 하고, 네이티브 서비스로 컴포턴트를 배포한다. kubeadm 같은 자동 프로비저닝 툴을 사용해 클러스터를 배포한 경우에는 모든 컴포넌트가 Pod로 배포되기 때문에 정보를 어디서 확인해야 하는지 파악하는 것이 중요하다.

The Hard Way

kubeadm

kubeadm으로 셋업한 환경에서의 Health Check를 진행하고자 한다.

Definition File

먼저 정의 파일을 찾아 인증서 파일에 대한 정보를 확인한다. kubeadm으로 클러스터를 구성했을 경우, /etc/kubernetes/manifests/ 폴더에 클러스터 컴포넌트들에 대한 정의 파일이 생성되어 있다.

CERT File

구성요소의 정의파일을 통해 얻은 인증서 파일을 디코딩하여 인증서의 세부 사항을 확인한다. openssl x509 명령을 통해 인증서의 세부 사항을 확인할 수 있다.

# openssl x509 -in <path-to-certificates-file> -text -noout
openssl x509 -in /etc/kubernetes/manifests/pki/apiserver.crt -text -noout
Bash
복사

•

인증서의 Subject 섹션을 통해 이름이 무엇인지 확인

•

다른 컴포넌트들이 해당 컴포넌트를 어떤 다른 이름으로 참조할 수 있는지 Alternative Name 확인

•

인증서의 유효성 섹션의 유효기간 만료일(Not After) 확인

•

인증서의 발급자(Issuer) 확인

◦

발급자는 인증서를 발급한 CA이어야 한다

◦

kubeadm은 Kubernetes CA의 이름을 kubernetes 자체로 지정한다

Inspect Logs

클러스터에 문제가 생기면 로그를 살펴야 한다. 로그 또한 클러스터의 셋업 환경에 따라 확인할 수 있는 방법이 다양하다.

Native Service

클러스터를 처음부터 설정하고 OS에서 Native Service로 구성되어 있다면 운영 체제 로깅 기능을 이용한 서비스 로그를 확인해야 한다.

journalctl -u etcd.service -l
Bash
복사

Kubeadm

Pod Logs

kubeadm으로 클러스터를 구성한 경우에는 컴포넌트가 Pod로 배포되기 때문에 Pod에 대한 로그를 확인할 수 있다.

kubectl logs etcd-master
Bash
복사

CRIO Logs Docker Logs

kube-apiserver나 ETCD 서버 같은 핵심 구성 요소가 다운될 경우, kubectl 명령이 작동하지 않을 수 있다. 이 떄는 한 레벨 아래인 CRIO의 로그를 확인해야 한다. (Kubernetes는 더 이상 Docker를 런타임으로 사용하지 않아 CRIO를 통해 확인해야 한다)

# 컨테이너 ID 확인
crictl ps -a
# 확인된 컨테이너 ID를 통해 로그 확인
circtl logs <Container ID>
Bash
복사

Summary

인증서의 정보를 확인하기 위해 살펴야 할 것은 다음과 같다:

•

올바른 이름과 올바른 대체 이름을 갖고 있는가

•

인증서가 올바른 조직의 일부인가

•

인증서가 올바른 발급자에 의해 발급되었는가 (중요)

•

인증서가 만료되지 않았는가 (중요)

각 컴포넌트의 인증서마다 필요되는 요구사항은 Docs를 통해 확인할 수 있다.

PKI certificates and requirements

Kubernetes requires PKI certificates for authentication over TLS. If you install Kubernetes with kubeadm, the certificates that your cluster requires are automatically generated. You can also generate your own certificates -- for example, to keep your private keys more secure by not storing them on the API server. This page explains the certificates that your cluster requires. How certificates are used by your cluster Kubernetes requires PKI for the following operations:

https://kubernetes.io/docs/setup/best-practices/certificates/

동작하지 않는다면 Log를 확인함으로써 어떤 오류가 발생하고 있는지 체크하고 해결해야 한다

# 클러스터가 OS에 Native Service로 배포된 경우
journalctl -u <service> -l

# kubeadm 같은 툴을 통해 클러스터 배포한 경우
kubectl logs <pod>

# kubectl이 동작하지 않는 경우
crictl ps -a
crictl logs <Container ID>
Bash
복사